Tag Archiv für BSI

„Für Sicherheit braucht man nur Mitarbeiterschulungen“

Ein Artikel mit eben diesem unsinnigen Titel „Für Sicherheit braucht man nur Mitarbeiterschulungen“ kam gestern auf Zeit-Online. Sicherheit ist niemals eine intrinsische Eigenschaft einer Entität, sondern es kann sie immer nur in Bezug auf etwas Anderes geben (sicher vor Diebstahl, Feuer, Asteroideneinschlägen etc.). Somit ist Sicherheit immer ein System von Maßnahmen im Hinblick auf bestimmte Angriffsvektoren. Daher ist allein unter diesem allgemeinen Gesichtspunkt die Aussage grob falsch, aber auch im engeren Sinne nur bezogen auf Datensicherheit reichen Mitarbeiterschulungen allein bei weitem nicht aus. Bestes Beispiel sind die Einbrüche in EDV-Anlagen über Softwarelücken. Selbst beste Schulungen können diese nicht verhindern. Mitarbeiterschulungen verbessern zwar das allgemeine Sicherheitsniveau, aber ohne jegliche technische Maßnahmen wird es nicht gehen. … Weiterlesen

Internetseitensperren im Bundestag

Die IT im Bundestag weiß sich nicht mehr anders zu helfen, als mit Zugangssperren für Angehörige des Bundestages (Spiegel):

Als Reaktion auf die jüngste Cyberattacke hat der Bundestag den Zugang zu mehr als 100.000 Websites sperren lassen. So soll verhindert werden, dass sich weitere Parlamentscomputer mit sogenannten Trojanern infizieren.

Wer hätte das gedacht, Zensursulas Traum von Zugangspserren wird zuerst bei den Abgeordneten und ihren Mitarbeitern eingeführt. Mal abgesehen von dem Umstand, daß ich gerne mal einen Blick auch auf diese Liste werfen würde, frage ich mich unwilkürlich wie das weitergehen soll. Wer soll diese Liste warten? Das Internet besteht inzwischen aus Millionen von Servern und Milliarden von Webseiten. Es müssten praktisch permanent neue Einträge hinzukommen und alte gelöscht werden. Dies lässt sich nur bedingt automatisieren und für die manuelle Kontrolle dürfte aber wohl nicht genügend (vertrauenswürdiges) Personal vorhanden sein. Vermutlich läuft es daher darauf hinaus, daß die Liste immer weiter anwächst. Erfahrungsgemäß funktionieren schwarze Listen nur ganz am Anfang, weil ihre Wartung zu zeitintensiv und die Fehlerquote hoch ist. Das Ganze erinnert stark an die Zensurlisten der BPjM, mit ihren fehlerhaften und nicht regelmäßig geprüften Einträgen, wie der BPjM-Leak gezeigt hat. Weiterlesen

Bedenkenträger am DE-CIX

Gestern ist mal wieder NSA-Untersuchungsausschuss zusammengetroffen, wobei nun auch offiziell bestätigt wurde, daß der BND umfangreich Daten, auch inländische, am Austauschknoten abgreift (Golem, heise, Netzpolitik). Wer zwischen den Zeilen lesen kann, konnte dies bereits 2013 einer gewundenen Presseerklärung des DE-CIX entnehmen:

… weder die NSA noch andere angelsächsische Dienste Zugang zum Knoten haben.

Doch diesmal wurde vom Untersuchungsausschuss ein schwergewichtiger Zeuge aus der deutschen Internetwirtschaft befragt: Klaus Landefeld. Weiterlesen

Datenweitergabe durch den BND

Jetzt ist es also auch endlich offiziell, daß Telekommunikationsdaten am Frankfurter Knoten ausgeleitet wurden bzw. werden. Allerdings erfolgte die Ausleitung durch den BND, der sie an die NSA weitergab und nicht direkt durch die NSA. Offiziell soll das Austauschprogramm 2007 beendet worden sein, aber wie glaubwürdig ist dies tatsächlich? Damit kann es jetzt auch als sicher gelten, daß man am DE-CIX davon wusste, denn vor knapp einem Jahr hat man noch eine gewundene Presseerklärung herausgegeben, in der man versicherte, daß die „NSA und andere angelsächsische Dienste“ keinen Zugriff auf die Daten im Austauschknoten haben. Tja, der BND ist eben kein angelsächsicher Geheimdienst. Jetzt fehlt noch die Aufdeckung der Beteiligung des BSI an der Ausspähung, denn auch dessen Presseerklärung vor einem Jahr war derart überspezifisch, daß man gar nichts anders kann, als davon auszugehen, daß es eigentlich — allein schon wegen seiner Herkunft — in irgendeiner Form beteiligt sein muss. Vielleicht leistet das BSI auch nur indirekte Unterstützung, in dem es dafür sorgt, daß das Nationale Cyber-Abwehrzentrum (NCAZ) gerade nicht funktioniert.

Gewiss sollte man jetzt aber nicht davon ausgehen, daß die NSA nicht doch einen Zugriff auf die Daten am DE-CIX hatte und immer noch hat. Einerseits widerspräche es dem mißtrauischen, ja paranoiden Wesen eines jeden Geheimdienstes, sich allein auf fremde Zuträger — in diesem Falle den BND — zu verlassen und auf Eigenbeschaffung zu verzichten wenn sie denn möglich ist. Außerdem kann man so auch die Zuverlässigkeit des „befreundeten“ Dienstes besser einschätzen, da die Daten aus zwei Quellen fließen. Andererseites bleibt das Hardwareproblem an den Knoten bestehen. Praktisch die gesamte relevante Hardware kommt von Herstellern aus den USA. Da zwischenzeitlich auch bekannt geworden war, daß die NSA Frachtsendungen von Herstellern abfängt, den Inhalt manipuliert und dann wieder in die Lieferkette einführt, kann es somit als sicher gelten, daß auch am DE-CIX Hardware mit Hintertüren eingesetzt wird, wenn auch vielleicht unwissentlich und unwillentlich.

Lesekompetenz von Internetnutzern

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sollen laut Presseerklärung 16 Millionen e-Mail-Passwort-Kombinationen übergeben worden sein. Von wem bleibt allerdings unklar. Die kompromittierten Daten sollen nach Angaben des BSI aus der Analyse von Botnetzten stammen. Daraufhin hat das BSI als Bürgerservice extra die eigene Webseite „https://www.sicherheitstest.bsi.de/“ eingerichtet, bei der jeder seine e-Mailadresse daraufhin überprüfen kann, ob sie sich unter den 16 Millionen befindet. Soweit so gut.

Nun hat gestern das Blog Netzpolitik über diesen Sachverhalt und über den Zusammenbruch der Webseite des BSI auf Grund des Besucheransturmes einen eher kurzen, aber meines Erachtens klaren Blogeintrag unter sicherheitstest.bsi.de – Wenn die DoS-Attacke aus der eigenen Bevölkerung kommt… veröffentlicht. Soweit auch noch ein vollkommen normaler Vorgang.

Was einem bei dieser Angelegenheit jetzt auf der Stirn Kaventsmänner schlagen lässt sind die vielen, knappen, durchweg höflichen, aber offenbar ernstgemeinten Kommentare zu dem Blogeintrag auf Netzpolitik: Weiterlesen

BSI dementiert Beteiligung an Prism und Tempora

Das Bundesamt für Sicherheitstechnik in der der Informationsverarbeitung (BSI) hat heute in einer Presseerklärung eine Zusammenarbeit mit ausländischen Nachrichtendiensten geschwurbelt dementiert: Weiterlesen